Bluebik เผย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act กำลังเข้ามา Disrupt โลกการทำงานด้าน Data Analytics ทำให้ข้อมูลซึ่งเป็น “หัวใจ” สำคัญของการแข่งขันยุคใหม่มีกระบวนการซับซ้อนและอ่อนไหวมากขึ้น ส่งผลให้องค์กรธุรกิจไทยเร่งวางแผนและเตรียมความพร้อมเพื่อรับมือ แนะปรับตัวได้ก่อน เดินหน้าได้เร็ว ไม่เสียโอกาสทางธุรกิจ สบช่องออกบริการช่วยองค์กรเตรียมปฏิบัติให้เข้ากับหลักเกณฑ์ ตั้งแต่ต้นน้ำประเมินศักยภาพและความพร้อม กลางน้ำวางแผนการทำงานให้สอดรับพ.ร.บ. และปลายน้ำ บริหารจัดการโครงการที่รองรับพ.ร.บ.ข้อมูลส่วนบุคคล
นายพชร อารยะการกุล ประธานเจ้าหน้าที่บริหาร บริษัท บลูบิค กรุ๊ป จำกัด (Bluebik) บริษัทที่ปรึกษาด้านกลยุทธ์ และการจัดการนวัตกรรมและเทคโนโลยี เปิดเผยว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำลังจะมีผลบังคับใช้ในวันที่ 28 พฤษภาคม 2563 นี้ จะเข้ามาเปลี่ยนแปลงและเป็นตัวแปรสำคัญที่จะส่งผลกระทบต่อกระบวนการทำงานด้านการวิเคราะห์ข้อมูล (Data Analytics) นับตั้งแต่ขั้นตอนจัดเก็บข้อมูล ไปจนถึงการนำไปใช้งานซึ่งข้อมูลถือเป็น “สินทรัพย์” สำคัญสำหรับองค์กรที่จะสามารถนำมาสร้างเป็น Insight ช่วยให้หลายองค์กรรู้จักตัวเองและลูกค้าของตัวเองอย่างถ่องแท้จนนำมาซึ่งการนำเสนอสินค้าและบริการได้อย่างตรงใจ อีกทั้งข้อมูลส่วนบุคคลถือเป็น “หัวใจ” สำคัญ สำหรับการทำ Big Data Analytics เพื่อหาสิ่งเชื่อมโยงของข้อมูลเหล่านั้นไว้ด้วยกัน โดยนำไปค้นหาแนวโน้มทางการตลาด หาความต้องการของลูกค้า รวมทั้งข้อมูลอื่นๆที่เป็นประโยชน์ต่อธุรกิจ ซึ่งเมื่อถึงวันที่พ.ร.บ.ดังกล่าวจะถูกบังคับใช้โดยกฏหมาย องค์กรจะต้องดำเนินการจัดเก็บและใช้ข้อมูลส่วนบุคคลให้ถูกต้องและรัดกุม
อย่างไรก็ดี ในส่วนขององค์กรธุรกิจที่กำลังเตรียมความพร้อมในการปรับใช้ พ.ร.บ.ข้อมูลส่วนบุคคล ให้เริ่มจากศึกษาความเข้าใจเกี่ยวกับข้อกำหนดที่สำคัญ 4 ข้อหลักได้แก่
- Requesting the data owner’s consent: การขอความยินยอมจากเจ้าของข้อมูล เริ่มตั้งแต่การเก็บรวบรวม การใช้งาน หรือการเปิดเผยข้อมูลต่อบุคคลอื่น ต้องได้รับการยินยอมเป็นลายลักษณ์อักษร และต้องไม่กระทำเกินกว่าที่ขอความยินยอมไว้
- Notifying the data owner of content usage objectives: การแจ้งวัตถุประสงค์ในการใช้ข้อมูลต่อเจ้าของข้อมูล ต้องชัดเจนและเข้าใจได้โดยง่าย ระบุระยะเวลาการจัดเก็บข้อมูลที่ชัดเจน
- Data security: การรักษาความปลอดภัยของข้อมูล (Data Security) ต้องได้มาตรฐาน
- The data owner’s right: สิทธิของเจ้าของข้อมูล ต้องมีการกำหนดสิทธิการเข้าถึง ส่งผลให้องค์กรต้องมีระบบในการรองรับสิทธิของเจ้าของข้อมูล
ตัวอย่างเช่น กรณีที่เจ้าของข้อมูลขอให้องค์กรลบข้อมูลส่วนบุคคลของตนเอง องค์กรจะต้องดำเนินการลบข้อมูลเหล่านั้นออก “ทั้งระบบ” เป็นต้น ซึ่งอาจเป็นปัญหากับองค์กรที่ยังมีการจัดเก็บข้อมูลแยกกันตามกลุ่มธุรกิจ (Silo) จะทำให้ไม่สามารถลบออกจากทั้งระบบ ที่สำคัญ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้กำหนดนิยามบทบาทหน้าที่ใหม่ของผู้มีส่วนเกี่ยวข้อกับข้อมูลต่าง ๆ เช่น Data Controller, Data Processor, Data Protection Officer ทำให้มีองค์กรจำนวนมากมองหาผู้เชี่ยวชาญเข้าช่วยวางแผนรับมือ เนื่องจากองค์กรต่างเล็งเห็นว่าการเร่งปรับองค์กรให้สอดรับกับพ.ร.บ.ข้อมูลส่วนบุคคลอย่างรวดเร็วจะช่วยให้สามารถแข่งขันในอุตสาหกรรมได้โดยไม่ทำให้เสียโอกาสทางธุรกิจ
ทั้งนี้ เพื่อเตรียมความพร้อมขององค์กร เราสามารถพิจารณาแนวทางการเตรียมความพร้อมขององค์กร พร้อมเสนอความช่วยเหลือในการเตรียมพร้อมให้กับองค์กรให้เข้ากับหลักเกณฑ์ พ.ร.บ.ดังกล่าวออกเป็น 3 ขั้นตอน ดังนี้
- ขั้นต้นน้ำ องค์กรควรประเมินขีดความสามารถและความพร้อมของระบบต่าง ๆ ในองค์กร อาทิ โครงสร้างและระบบด้านไอที (IT Infrastructure) เพื่อหาช่องว่างที่ต้องปรับปรุงให้สามารถรองรับการดำเนินงานตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล รวมทั้งประเมินกระบวนการทำงาน (Process) โดยจะต้องดูตั้งแต่ขั้นตอนการขอความยินยอมจากเจ้าข้อข้อมูล (Consent) การจัดเก็บและบริหารจัดการข้อมูลและต้องมีแผนว่าจะจัดเก็บข้อมูลในอนาคตอย่างไร
- ขั้นกลางน้ำ องค์กรควรวางแผนในการจัดทำธรรมาภิบาลข้อมูล (Data Governance) ตั้งแต่การจำแนกข้อมูล (Data Classification) ไปจนถึงการกำหนดมาตรการในการปกป้องข้อมูลต่างๆ การวางแผนและการคัดเลือกเครื่องมือในการปกป้องข้อมูล เช่น เครื่องมือในการทำ Data Masking (การปกปิดข้อมูลส่วนบุคคลบางอย่างที่ปรากฎอยู่ในฐานข้อมูล) Data Encryption (การรักษาความปลอดภัยด้านข้อมูลผ่านการเข้ารหัสข้อมูล) เป็นต้น รวมทั้งการวางแผนวางระบบไอทีที่ต้องสอดคล้องกับพ.ร.บ.คุ้มครองส่วนบุคคล
- ขั้นปลายน้ำ องค์กรควรมีทีมงานเฉพาะกิจในการวางแผนและบริหารจัดการ เพื่อผลักดันให้การปฏิบัติตามกฏหมาย (Implementation) เป็นไปอย่างถูกต้องและมีประสิทธิภาพ โดยคณะทำงานนี้ควรเป็นมาจากตัวแทนที่เหมาะสมจากแต่ละฝ่ายงานที่เกี่ยวข้อง เพื่อให้มั่นใจได้ว่าการบริหารจัดการข้อมูลสอดคล้องกับพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลรวมทั้งเป็นไปตามเป้าหมายเชิงยุทธศาสตร์ได้
“องค์กรธุรกิจจะต้องเตรียมความพร้อมเพื่อรับมือกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยต้องประเมินทั้งในเชิงนโยบาย กระบวนการทำงานและเทคโนโลยีขององค์กร ว่าจะสอดคล้องกับบทบัญญัติของ พ.ร.บ. มากน้อยเพียงใดเพื่อทำให้ทราบว่าองค์กรต้องปรับปรุงด้านใดบ้างให้รองรับกับข้อบังคับของกฎหมาย หากองค์กรทำผิดพ.ร.บ.ดังกล่าว นอกจากจะถูกดำเนินการทางกฎหมายแล้วภาพลักษณ์ความน่าเชื่อถือขององค์กรและแบรนด์ก็จะเสียหายตามไปด้วย” นายพชร กล่าวทิ้งท้าย